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(57) Abstract: The invention relates to a data carrier comprising a semiconductor chip 
provided with at least one memory in which an operating program is stored. Said oper- 
ating program contains a number of instructions, whereby each instruction is elicited by 
signals that can be detected outside of the semiconductor chip. The aim of the invention 
is to protect secret data, which is provided in the chip of the data carrier, from "Differ- 
ential Power Analysis" (DPA) or Higher Order DPA. To this end, the invention provides 
that in order to carry out security-relevant operations in the semiconductor chip, the data 
carrier is designed for dividing up secret data, which is stored or generated by the same, 
into at least three data parts, whereby an arithmetic unit for calculating a random num- 
ber and for dividing the random number is contained therein, whereby the first data part 
is the integer result of the division, the second part is the remainder of the division, and 
the third part is the random number itself. 

(57) Zusammenfassung: Die Erfindung betrifft einen Datentrager mit einem Halblei- 
terchip der wenigstens einen Speicher aufweist, in dem ein Betriebsprogramm abgelegt 
ist, das mehrere Befehle beinhaltet, wobei jeder Befehl von ausserhalb des Halbleiter- 
chips detektierbare Signale hervomift. Es ist Aufgabe der Erfindung, geheime Daten, 
die rm Chip des Datentragers vorhanden sind, vor "Differential Power Analysis" (DPA) 
bzw. Higher Order DPA zu schtttzen. Gemass der Erfindung ist der Datentrager aus- 
gelegt, um zur Durchfuhrung sicherheitsrelevanter Operationen im Halbleiterchip abge- 
legte oder von diesem generierte geheime Daten in mindestens drei Daten teile aufzu- 
teilen, wobei eine Recheneinheit zum Berechnen einer Zufallszahl und zur Teilung der 
Zuf allszahl en thai ten ist, wobei der erste Datenteil das ganzzahlige Ergebnis der Teilung 
ist, der zweite Teil der Rest der Teilung und der dritte TeU die Zufallszahl selbst ist. 



WO 01/48974 Al IDDlQIHIIillllDlIIIIIillfllH 



(84) Bestimmungsstaaten (regional): ARIPO-Patent (GH, 
GM, KE, LS, MW, MZ, SD. SL, SZ, TZ, UG, ZW), 
eurasisches Patent (AM, AZ, BY, KG, KZ, MD, RU, TJ, 
TM), europaisches Patent (AT, BE, CH, CY, DE. DK, 
ES. FI, FR. GB. GR. IE, IT. LU. MC NL, PT, SE, TR), 
O API-Patent (BF, BJ, CF, CG, CI, CM, GA, GN, GW, ML, 
MR, NE, SN, TD. TG). 



VerGflentlicht: 

— Mit intemationalem Recherche nbericht. 

Zur Erklarung der Zweibuchstaben-Codes, und der anderen 
Abkurzungen wird auf die Erklarungen ("Guidance Notes on 
Codes and Abbreviations'') am Anfangjeder regularen Ausgabe 
der PCT'Gazette verwiesen. 



WO 01/48974 



PCT/EP00/13031 



Tragbarer Datentrager mit Zugriffsschutz durch Schliisselteilung 



5 Die Erfindung betrifft einen Datentrager, der einen Halbleiterchip aufweist, 
in dem geheime Daten abgespeichert sind und verarbeitet werden. 

Datentrager die einen Chip enthalten, werden in einer Vielzahl von unter- 
schiedlichen Anwendungen eingesetzt, beispielsweise zum Durchfiihren von 

10 Finanztransaktionen, zum Bezahlen von Waren oder Dienstleistungen, oder 
als Identifikationsmittel zur Steuerung von Zugangs- oder Zutrittskontrol- 
len. Bei alien diesen Anwendungen werden innerhalb des Chips des Daten- 
tragers in der Regel geheime Daten verarbeitet, die vor dem Zugriff durch 
unberechtigte Dritte geschiitzt werden mussen. Dieser Schutz wird unter 

15 anderem dadurch gewahrleistet, dafi die inneren Strukturen des Chips sehr 
kleine Abmessungen aufweisen und daher ein Zugriff auf diese Strukturen 
mit dem Ziel, Daten, die in diesen Strukturen verarbeitet werden, auszuspa- 
hen, sehr schwierig ist. Um einen Zugriff weiter zu erschweren, kann der 
Chip in eine sehr fest haftende Masse eingebettet werden, bei deren gewalt- 

20 samer Entfemung das Halbleiterplattchen zerstort wird oder zumindest die 
darin gespeicherten geheimen Daten vernichtet werden. Ebenso ist es auch 
moglich, das Halbleiterplattchen bereits bei dessen Herstellung mit einer 
Schutzschicht zu versehen, die nicht ohne Zerstorung des Halbleiterplatt- 
chens entfernt werden kann. 

25 

Mit einer entsprechenden technischen Ausriistung, die zwar extrem teuer 
aber dennoch prinzipiell verfiigbar ist, konnte es einem Angreifer mogli- 
cherweise gelingen, die innere Struktur des Chips freizulegen und zu unter- 
suchen. Das Freilegen konnte beispielsweise durch spezielle Atzverfahren 
30 oder durch einen geeigneten AbschleifprozeC erfolgen. Die so freigelegten 
Strukturen des Chips, wie beispielsweise Leiterbahnen, kOnnten mit Mikro- 
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sonden kontaktiert oder mit anderen Verfahren untersucht werden, urn die 
Signalverlaufe in diesen Strukturen zu ermitteln. Anschliefiend kftnnte ver- 
sucht werden, aus den detektierten Signalen geheime Daten des Datentra- 
gers, wie z.B. geheime Schliissel zu ermitteln, um diese fur Manipulations- 
5 zwecke einzusetzen. Ebenso konnte versucht werden, iiber die Mikrosonden 
die Signalverlaufe in den freigelegten Strukturen gezielt zu beeinflussen. 

In jungerer Zeit sind iiberdies Methoden bekannt geworden, die es erlauben 
durch die Messung der Stromaufnahme oder des Zeitverhaltens bei der Ver- 
schlusselung auf die geheimen Daten, insbesondere den geheimen Schliissel 
zu schliefien (Paul C. Kocher, Timing attacks on implementation of Diffie- 
Hellman, RSA, DSS, and other Systems", Springer Verlag 1998; 
WO 99/35782). 

Ein einfacher derartiger Angriff besteht in der „Simple Power Analysis" 
(SPA). Bei dieser Analysemethode wird beispielsweise eine bekannte Nach- 
richt M einer Verschlusselung mit einem geheimen Schliissel d unterzogen, 
d.h. es wird der verschliisselte Text Y = M d mod n gebildet. Bei der modula- 
ren Exponentiation wird bei einer "1" im Exponenten d eine Quadrier- 
Operation mit dem Zwischenergebnis und eine Multilizier-Operation mit M 
durchgefuhrt, wahrend bei einer "0" in d nur eine Quadrier-Operation mit 
dem Zwischenergebnis ausgefuhrt wird. Bei bekanntem M kann durch die 
Beobachtung des Strom und/ oder Zeitverhaltens wahrend der Operationen 
die Nachricht M erkannt werden. Da diese immer bei Vorliegen einer "1" in 
d verwendet wird, kann ohne weiteres auf den Schliissel geschlossen wer- 
den. 

Diesem Angriff kann ohne weiteres durch einfache Anderungen in der 
Nachricht M bzw. im Schliissel d begegnet werden. Aus Paul C. Kocher, 
„Timing Attacks on implementation of Diffie-Hellman, RSA, DSS, and other 
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Systems", Springer Verlag 1998 und der internationalen Patentanmeldung 
WO 99/35782 sind weitere Analysemethoden bekannt, bei denen auch bei 
geanderter, d.h. verschleierter Nachricht oder verschleiertem Schlussel 
durch die Aufnahme einer Vielzahl von MeSkurven, in denen das Stromver- 
5 halten des integrierten Schaltkreises gemessen wird auf den Schlussel ge- 
schlossen werden kann (^Differential Power Analysis" (DP A) bzw. Higher 
Order DP A). 

Als Sicherungsmafinahme wurde ein sogenanntes ^Exponent Blinding" vor- 
10 geschlagen, bei dem der geheime Schlussel d nicht dLrekt verwendet wurde. 

Zum einen kann anstelle des geheimen Schlussels d fur die Verschlusselung 
d+r*d> verwendet werden, wobei r eine Zufallszahl und cp die Eulersche 
PHI-Funktion ist. Speziell fur den RSA-Algorithmus gilt: n = p*q, wobei p 
15 und q Primzahlen sind und somit <t> = (p-l)*(q-l) ist. Unter Anwendung des 
Eulers-Theorem gilt: M d mod n = M d+r *° mod n. 

Wenn bei jeder Berechnung eine andere Zufallszahl r verwendet wird, kann 
auch bei einer Vielzahl von Analyse-Reihen nicht auf den Schlussel d ge- 
schlossen werden. 

20 

Alternativ kann der geheime Schlussel d in dl*d2 mod <D zerlegt werden. Es 
wird fiir die Verschlusselung Y=M drd2mod ° mod n =(M dl ) d2 mod n. 

Der Nachteil dieser Schutzm6glichkeit besteht jedoch darin, dafi aus Mangel 
25 an Speicherplatz die Primzahlen p und q oder O iiblicherweise nicht in einer 
Chipkarte abgelegt sind. 

Der geheime Schlussel d kann auch in eine Summe aus dl und d2 zerlegt 
werden. Es gilt dann d = dl + d2 bzw. fiir die Verschlusselung: 
30 Y=M dl+d2 mod n = M dl * M* 2 mod n = (M dl mod n * mod n) mod n. 
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Um eine ausreichend hohe Sicherheit zu erhalten f mufi bei der Zerlegung 
des Exponenten in d = dl + d2 oder d = dl*d2 mod <D fur jede Berechnung 
ein neues, zufalliges dl/d2-Paar gewahlt werden. Da die Erzeugung von 
5 Zufallszahlen in der Regel sehr langsam ist, eignet sich dieses Verfahren 
nicht zum Einsatz in Chipkarten. Zudem wird der Rechenaufwand fur die 
modulare Exponentiation wesentlich erhbht, so dafi auch dies gegen einen 
Einsatz in der Chipkarte spricht. 

10 Es ist daher Aufgabe der Erfindung, geheime Daten, die im Chip eines trag- 
baren Datentragers vorhanden sind, vor unberechtigtem Zugriff zu schiit- 
zen, wobei der effiziente Einsatz der Daten nach wie vor gewahrleistet sein 
soil. 

15 Diese Aufgabe wird ausgehend vom Oberbegriff der Anspriiche 1 bzw. 7 

und 12 durch die kennzeichnenden Merkmale des jeweiligen Anspruchs ge- 
lost. 

Die Erfindung gibt einen DatentrSger mit einem Halbleiterchip der wenig- 
20 stens einen Speicher aufweist, in dem ein Betriebsprogramm abgelegt ist, das 
mehrere Befehle beinhaltet, wobei jeder Befehl von aufierhalb des Halbleiter- 
chips detektierbare Signale hervorruft, an. 

Gemafi der Erfindung ist der Datentrager ausgelegt, um zur Durchfuhrung 
25 sicherheitsrelevanter Operationen im Halbleiterchip abgelegte oder von die- 
sem generierte geheime Daten in mindestens drei Datenteile auf zuteilen. Er 
enthalt eine Rechner- bzw. Recheneinheit zum Berechnen einer Zufallszahl 
und zur Teilung der geheimen Daten durch die Zufallszahl. Der erste Daten- 
teil besteht aus dem ganzzahligen Ergebnis der Teilung, der zweite Teil ist 
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durch den Rest der Teilung gegeben und der dritte Datenteil ist die Zuf alls- 
zahl selbst. 

Gemafi einer vorteilhaften Ausgestaltung der Erfindung bestehen die ge- 
5 heimen Daten aus dem geheimen Schliissel fur eine Verschlusselung von 
Nachrichten, wobei vorzugsweise der geheime Schliissel als Exponent bei 
der Berechnung von Gruppen-Operationen in asymmetrischen Verschlus- 
selungsverfahren (public-key- Verfahren, z.B. elliptische Kurven, RSA, usw. ) 
bzw. von Modulo-Operationen eingesetzt wird. 

10 

Eine weitere Ausgestaltung der Erfindung sieht vor, dafi die Zufallszahl so 
gewahlt wird, dafi die Lange der Zufallszahl zusammen mit dem Hamming- 
gewicht der Zufallszahl bei verschiedenen Zufallszahlen etwa konstant ist. 
Auf diese Weise wird erreicht, dafi aus der Zeitdauer, welche fur die modu- 
15 lare Exponentiation, die proportional zur Lange des Exponenten und dem 
Hamrriinggewicht des Exponenten ist, nicht auf die geheimen Daten ge- 
schlossen werden kann. 

Das erfindungsgemafie Verfahren sieht vor, dafi der geheime Schliissel 
20 durch eine vergleichsweise kurze Zufallszahl geteilt wird. Das Teilungser- 
gebnis ohne Rest ergibt den ersten Teil des Schltissels, der Rest ergibt den 
zweiten Teil des Schltissels und die Zufallszahl den dritten Teil. 

Fur die Verschlusselung einer Nachricht M gilt Y = M d mod n. Der geheime 
25 Schliissel d wird in dl, d2 und r auf geteilt, wobei dl = d/r (r ist eine Zufalls- 
zahl) ohne Rest gilt. Der Rest der Teilung ist der zweite Teil d2 des Schltissels 
d. Damit gilt d2= d mod r. Fur den Schliissel d gilt somit d = r*dl + d2. 



Damit ergibt sich ein Verschliisselungstext 



30 



! 

t 

WO 01/48974 PCT/EPOO/13031 

-6- 

Y - M d mod n = M^ dl + 42 mod n = (M r ) dl * M* 2 mod n = 
= ((M r ) dl mod n * M* 2 mod n) mod n. 

Der Ablauf der Bildung des verschliisselten Textes Y ist in Fig. 1 dargestellt. 

5 

In Schritt 1 wird zunMchst eine Zufallszahl r gebildet. Anschliefiend wird in 
Schritt 2 aus dem geheimen Schliissel d durch Teilung mit der zuvor erhalte- 
nen Zufallszahl r der erste Schlusselteil dl berechnet Der zweite Teil d2 des 
Schlussels wird durch Bildung von d mod r erhalten. 

10 

In Schritt 4 wird mit der Berechnung des Verschliisselungstextes begonnen, 
indem zunachst M r mod n berechnet wird. Im nachsteh Schritt 5 wird 
Dl = (M r ) dl mod n und in Schritt 6 wird D2 = M* 2 mod n berechnet. 

15 Die Reihenfolge der einzelnen Rechenoperationen kann natiirlich zum Teil 
auch zeitlich vertauscht werden. So kann zuerst M dl mod n berechnet wer- 
den und dann (M dl ) r mod n, da (M r ) dl mod n = (M dl ) r mod n ist. 

Im letzten Schritt 7 werden die Zwischenergebnisse Dl und D2 miteinander 
20 multipliziert und der Modulo zu n gebildet. Es gilt damit 

Dl * D2 mod n = M d mod n = Y. 

Die Erfindung hat den Vorteil, dafi weder die Primzahlen p und q zur Bil- 
25 dung von <D in der Karte gespeichert sein mtissen und auch die Erzeugung 
langer Zufallszahlen, die sehr viel Rechenzeit in Anspruch nimmt, vermie- 
den wird. Es wird weiterhin der Rechenaufwand fiir die Modulo- 
Operationen in Grenzen gehalten, so dafi die erfindungsgemajBe Losung so- 
wohl sicher als auch effizient in einer Chipkarte eingesetzt werden kann. 
30 Weiterhin miissen bei dem beschriebenen Verfahren keine Daten im nicht- 
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fliichtigen Speicher des Datentragers abgeandert werden, was Zeit bean- 
spruchen und zu einem Degradieren des nichtfliichtigen Speichers ftihren 
wtirde. 

5 Da eine modulare Exponentiation eine Zeitdauer bentftigt, die proportional 
zur Lange des Exponenten und des Hamminggewichts des Exponenten ist, 
kann eine zusatzliche Erhohung der Sicherheit erreicht werden, wenn fiir die 
Erzeugung der Zufallszahl r ein Verfahren gewahlt wird, bei der die Lange 
von r und das Hamminggewicht von r eine Konstante ergibt. 

10 

Die Erfindung kann fiir eine Vielzahl von Verschliisselungssysteme ange- 
wendet werden. Es sei beispielhaf t auf die RSA-Verschlixsselung, die Ver- 
schliisselung nach ElGamal, DSA, Elliptische Kurvensysteme usw. verwie- 
sen. 



15 
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Patentanspruche 

1. Datentrager mit einem Halbleiterchip der wenigstens einen Speicher 
aufweist, in dem ein Betriebsprogramm abgelegt ist, das mehrere Befehle 

5 beinhaltet, wobei jeder Befehl von aufierhalb des Halbleiterchips detektier- 
bare Signale hervorruft, dadurch gekennzeichnet, dafi der Datentrager aus- 
gelegt ist, um zur Durchfuhrung sicherheitsrelevanter Operationen im 
Halbleiterchip abgelegte oder von diesem generierte geheime Daten in min- 
destens drei Datenteile aufzuteilen, wobei eine Recheneinheit zum Berech- 
10 nen einer Zufallszahl und zur Teilung der Zufallszahl enthalten ist, wobei 
der erste Datenteil das ganzzahlige Ergebnis der Teilung ist, der zweite Teil 
der Rest der Teilung und der dritte Teil die Zufallszahl selbst ist. 

2. Datentrager nach Anspruch 1, dadurch gekennzeichnet, dafi die gehei- 
15 men Daten ein geheimer Schlussel fur eine Verschlusselung von Nachrichten 

sind. 

3. Datentrager nach Anspruch 1 oder 2, dadurch gekennzeichnet, dafi die 
geheimen Daten als Exponent bei der Berechnung von Gruppen- 

20 Operationen in asymetrischen Verschliasslelungsverfahren Verwendung fin- 
den. 

4. Datentrager nach einem der Anspriiche 1 bis 3, dadurch gekennzeich- 
net, dafi die geheimen Daten als Exponent bei der Berechnung von Modulo- 

25 Operationen eingesetzt werden. 

5. Datentrager nach einem der Anspriiche 1 bis 3, dadurch gekennzeich- 
net, dafi der geheime Schlussel als Exponent bei der Berechnung von Mo- 
dulo-Operationen eingesetzt wird. 

30 
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6. Datentrager nach einem der Anspriiche 1 - 5, dadurch gekennzeichnet, 
dafi die Zufallszahl so gewahlt wird, dafi die Lange der Zuf allszahl zusam- 
men mit dem Hainminggewicht der Zufallszahl bei verschiedenen Zufalls- 
zahlen etwa konstant ist. 

5 

7. Verfahren zur Sichening geheinier Daten in Datentragern mit einem 
Halbleiterchip der wenigstens einen Speicher aufweist, in dem ein Be- 
triebsprogramm abgelegt ist, das mehrere Befehle beinhaltet, wobei jeder 
Befehl von aufierhalb des Halbleiterchips detektierbare Signale hervorruft, 

10 dadurch gekennzeichnet, dafi zur Durchfixhrung sicherheitsrelevanter Ope- 
rationen im Halbleiterchip abgelegte oder von diesem generierte geheime 
Daten in mindestens drei Datenteile aufgeteilt werden, wobei zunachst eine 
Zufallszahl berechnet wird und der erste Datenteil aus dem ganzzahligen 
Ergebnis einer Teilung der geheimen Daten durch die Zufallszahl ist, der 

15 zweite Teil aus dem Rest der Teilung besteht und der dritte Teil die Zufalls- 
zahl selbst ist. 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dafi die geheimen 
Daten ein geheimer Schlussel fur eine Verschlusselung von Nachrichten 

20 sind. 

9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dafi die ge- 
heimen Daten als Exponent bei der Berechnung von Gruppen-Operationen 
in asymetrischen Verschlusselungsverfahren Verwendung finden. 

25 

10. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dafi die 
geheimen Daten als Exponent bei der Berechnung von Modulo-Operationen 
eingesetzt werden. 
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11. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dafi der 
geheime Schliissel als Exponent bei der Berechnung von Modulo- 
Operationen eingesetzt wird. 

5 12. Verfahren nach einem der Anspriiche 7 - 11, dadurch gekennzeichnet, 
dafi die Zuf allszahl so gewahlt wird, dafi die Lange der Zufallszahl zusam- 
men mit dem Hamminggewicht der Zufallszahl bei verschiedenen Zufalls- 
zahlen etwa konstant ist. 

10 13. Verfahren zur Bildung einer verschliisselten Nachricht in einem System 
zur Authentisierung von Systemkomponenten oder zur Bildung einer Signa- 
tur, dadurch gekennzeichnet, dafi 

- eine Zufallszahl r gebildet wird, 

- aus einem geheimen Schliissel d durch Teilung mit der zuvor erhaltenen 
15 Zufallszahl r ein erster Schlusselteil (dl) berechnet wird, 

- ein zweiter Teil (d2) des Schlvissels durch Bildung von d mod r erhalten 
wird, 

- mit der Berechnung des Verschlusselungstextes begonnen wird, indem M r 
mod n berechnet wird, 

20 - Dl = (M r ) dl mod n und D2 = M* 2 mod n berechnet wird und 

- die Zwischenergebnisse Dl und D2 miteinander multipliziert und der 
Modulo zu n gebildet wird. 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dafi zur Be- 
25 rechnung von Dl zunachst M dl mod n und nachfolgend (M dl ) r mod n be- 
rechnet wird. 
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Portable data carrier with < RTI ID = 1.1> 2ugriffsschutz< /RTI> by allotting pro rata hurrying the invention relates to 
a data earner, which exhibits a semiconductor chip, become processed in which secret data stored are and. 

Data carriers the one chip contained, become inserted, for example accomplishing by financial transactions in a 
variety of different applications, paying merchandise or services, or as identification means the control of Zugangs- 
oder admission controls. With ail these applications become processed within the chip of the data carrier usually secret 
data, which before the access by unauthorized third protected to become to have. This protection becomes among 
other things ensured by the fact that the internal structures of the chip exhibit much small dimensions and therefore 
an access to these structures with the target, data, which become processed in these structures < RTI ID = 1 2> 
auszuspa < /RTI> hen, very difficult is. In order to make access more difficult more other, the chip can become into a 
very fixed adhesive bulk embedded, with of them removal by force < RTI ID=1.3> Halbleiterpiattchen< /RTI> 
destroyed will be destroyed or at least the secret data stored therein. Likewise it is < also possible that- RTI ID=l 4> 
Halbleiterplattchen< /RTI> already with its manufacturing with a protective layer to provide, those not without 
destruction < RTI ID=l.5> Halbleiterpiatt < /RTI> chens remote will can. 

With a corresponding technical equipment, which is more available nevertheless in principle extreme expensively 
however, it could an aggressor < RTI ID=1.6> mogli < /RTI> cherweise succeed to open and examine the internal 
structure of the chip. Opening could for example by particular etching processes or by an appropriate < RTI ID=1 7> 
Abschleifprozess< /RTI> take place. In such a way opened structures of the chip, as for example conductive traces 
could become with micro probes contacted or with other methods examined, in order to determine the signal 
processes in these structures. Subsequent one could become attempted, from that detected signals secret data < RTI 
}? t . Datentra < /RTI> °-ers, like z. B. to determine secret key, in order to use these for manipulation purposes 
Likewise attempted could become to affect over the Mikrosonden the signal processes in the opened structures 
targeted. 

In younger time besides methods became known, it permit by the measurement of the power input or the time 
?n C l r < ma J!? Ce I witn „ tne Ver< RTI ID = 2.2> schliisselung< /RTI> on the secret data to close in particular the secret key 
(Paul C. Cooker, timing attacks on implementation OF Diffie Hellman, RSA, dss, and OTHER of system", Springer 
verlag 1998; WHERE 99/35782). 

A simple such attack exists in the n simple power analysis - (SPA). With this analysis method for example a known 
message M of an encryption with a secret key D is submitted, of D. h. it becomes the encrypted text Y = MD mod n 
formed. With the modular Exponentiation with one < RTI ID=2.3> a » 1 " im< /RTI> Exponent D one square operation 
with the intermediate result and an Multilizier operation with M performed, while with < RTI ID = 2 4> " 0 " in< /RTI> 
D only a squaring operation with < RTI ID=2.5> Zwischenergebnis< /RTI> executed becomes. With known M stream 
can become and/or time performance during the operations the message M recognized by the observation. Since this 
always becomes when being present a " 1 " in D used, easily closed can become on the key. 

This attack can easily by simple changes in the message M and/or. in the key D to be met. 
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Claims 1. Data earner with a semiconductor chip that at least a memory exhibits, is deposited in which an operatina 
programme, several instructions the included, whereby each instruction of outside of the semiconductor chip causes 
detectable signals, characterised in that of the data carriers designed is, in order to divide to the feedthrough of 
safety-relevant operations in the semiconductor chip put down or from this generated secret data into at least three 
data parts, whereby an arithmetic unit is contained of a random number for calculation and for the division of the 
random number whereby the first data part is the integral result of the division, which is second part the remainder of 
the division and the third part the random number. 

messages are^ aCC ° rding t0 C,aim characteris ed in that the secret data a secret key for an encryption from 

3. Data carriers according to claim 1 or 2, characterised in that the secret data as exponent with the calculation of 
groups operations in asymetrischen Verschlusslelungsverfahren use find. 

4. Data carriers after one of the claims 1 to 3, characterised in that the secret data as exponent with the calculation of 
modulo operations inserted become. 

5. Data carrier after one of the claims 1 to 3, characterised in that the secret keys as exponent with the calculation of 
modulo operations inserted becomes. 

?' °fu a *![ riGr af J er ° ne 0f the clalms 1 " 5 ' char acterised in that the random number so chosen becomes that the 
length of the random number as well as the Hamminggewicht of the random number is constant with various random 
numbers. 

7. Method to the fuse of secret data in < RTI ID=9.1> Datentragern< /RTI> with a semiconductor chip that at least a 
memory exhibits, in a Be< RTI ID=9.2> triebsprogramm< /RTI> deposited is, several instructions included whereby 
each instruction causes detectable signals of outside of the semiconductor chip, characterised in that to the 
feedthrough safety- relevant operations in the semiconductor chip put down or from this generated secret data into at 
least three data parts divided becomes, whereby first a random number becomes calculated and the first data part 
from the integral result of a division of the secret data is by the random number, which second part from the 
remainder of the division exists and which is third part the random number. 

8. Process according to claim 7, characterised in that the secret data a secret key for an encryption from messages is. 

9. Process according to claim 7 or 8, characterised in that the secret data as exponent with the calculation of group 
operations in asymetrischen coding procedures use finds. 

10. Process according to claim 7 or 8, characterised in that the secret data as exponent with the calculation of modulo 
operations inserted becomes. 

A to P 11. Process according to claim 7 or 8, characterised in that the secret keys as exponent with the calculation of modulo 
operations inserted becomes. 

12. Process according to one of claims 7-11, characterised in that the random number so chosen becomes that the 
length of the random number as well as < RTI ID=10.1> Hamminggewicht< /RTI> the random number with various 
random numbers constant is. 

13. Method to the formation of an encrypted message in a system to the authentication of system components or to 
the formation of a signature, characterised in that - a random number r formed becomes, - from a secret key D by 
division with the before obtained j»cuicl * cy ^ u Y 

^^ n T^ er J n T f RTI ID = 10 ' 2> SchlusselteiK /RT1> <RT1 ID = 10.3>(dl)</RTI> calculated is <, - a second 

part (d2) of the key by formation of D mod r obtained becomes, - with the calculation; RTI ID=10 4> 

Verschlusseiungstextes< /RTI> started becomes, as Mr becomes mod n calculated, - Dl = < RTI ID- 10 5> (Mr) 

< /RTI> mod n and D2 = Md2 mod n calculated becomes and - the intermediate results Dl and D2 multiplied with one 

another and that 

Modulo to n formed becomes. 

l~ ^°S eSS , ac * ordinq t0 daim 13 < characterised in that for the calculation of Dl first Mdl mod n and subseguent < RTI 
ID=10.6> (Mdl) < /RTI> r mod n counts becomes. 
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